Den 21. april 2021 la Europakommisjonen frem forslag til Artificial Intelligence Act (AI Act), eller «forordning for kunstig intelligens». Dette er verdens første forslag til et juridisk rammeverk som spesifikt regulerer kunstig intelligens, og følgelig av stor interesse for alle som befatter seg med teknologien. Reglene ble foreslått for å sikre at ikke bare anvendelsen, men også utviklingen, av disse systemene harmonerer med fundamentale rettigheter.
Lovforslaget er nå under behandling i EU-systemet, og vi venter på enighet mellom Europaparlamentet og Rådet for den Europeiske union. Det er imidlertid fortsatt uklart når en formell godkjenning av forordningen er forventet; 2025 er blitt antydet.
Uavhengig av tidspunkt, vil en vedtakelse av regelverket på EU-nivå med den største sannsynlighet innebære at fordringen blir ansett som EØS-relevant. Følgelig vil regelverket trolig bli inkorporert, og gjort til norsk lov.
Er det et behov for regulering?
Ja. Regulering av kunstig intelligens er avgjørende for å demme opp for potensielle trusler. Kunstig intelligens kan misbrukes på så mange måter, inkludert måter vi nok ikke kan forestille oss i dag.
Frykten for masseproduksjon av falske nyheter gjennom systemer som ChatGPT, især gjennom sosiale medier, er et av mange eksempler som understreker behovet. Dessuten reiser kunstig intelligens komplekse spørsmål om menneskerettigheter og personvern, datautnyttelse og tilgangskontroll. Spørsmål om lagringstid for persondata i den digitale sfæren, samt vilkårene for sletting av informasjon, er også problemstillinger som behøver regulering.
Selv om teknologien har et ubeskrivelig potensial, noe som allerede alt er blitt illustrert, er det videre kritisk å forhindre misbruk av ikke-pålitelige systemer. Regulering må derfor etableres for å sikre at KI-systemer utvikles i samsvar med våre verdier, etikk, rettigheter og samfunnssikkerhet.
Risikobasert tilnærming
Den foreslåtte forordningen tar en såkalt «risikobasert tilnærming» til reguleringen av kunstig intelligens. Her defineres systemkravene i tråd med den identifiserte risikoen systemet utgjør. Kravene vil med andre ord avhenge av hvor stor risiko det angjeldende systemet utgjør. Forordningen skiller tydelig fire nivåer av risiko: I) Uakseptabel risiko, ii) høy risiko, iii) begrenset risiko, samt iv) minimal eller ingen risiko.
Noen systemer for kunstig intelligens bryter rett og slett med grunnleggende rettigheter, hvorfor disse systemene innebærer en uakseptabel risiko. De vil følgelig bli forbudt. Eksempler på systemer som innebærer en uakseptabel risiko er de som bruker manipulative teknikker eller sosiale kredittsystem.
Systemer vil videre bli kategorisert som høyrisiko dersom de blant annet brukes på kritiske samfunnsområder som definert i KI-forordningen, eller dersom de inngår som en sikkerhetskomponent i et produkt, eller systemet selv er et produkt som reguleres av spesifiserte EU-regelverk.
Begrenset risiko vil være kategoriseringen for systemer som ikke faller under høyrisiko, men som samtidig har spesielle åpenhetskrav. Ved bruk eksempelvis «chatbots», skal brukere bli gjort oppmerksomme på at de interagerer med en maskin, slik at de kan treffe en informert beslutning om de skal fortsette eller avslutte bruken.
Systemer som verken er uakseptabelt risikofylte, høyrisiko eller underlagt åpenhetsforpliktelser, vil bli betraktet som systemer med minimal risiko. De aller fleste AI-systemer som brukes i EU hører under denne kategorien. Dette inkluderer videospill eller spamfiltre, drevet av kunstig intelligens. For slike systemer har KI-forordningen ingen spesifikke krav, men leverandører oppfordres til å følge frivillige etiske retningslinjer.
Håndheving
Kommisjonen foreslår at nasjonale markedskontrollmyndigheter skal ha ansvaret for tilsyn med de nye reglene. Hver medlemsstat skal således utpeke en nasjonal tilsynsmyndighet som skal besitte flere roller i henhold til forordningen. Tilsynsmyndigheten skal sikre korrekt anvendelse og implementering av forordningen, samtidig som den fungerer som overvåkningsmyndighet.
Det vil pålegges medlemsstatene å sørge for at tilsynsmyndigheten har tilstrekkelige tekniske, økonomiske og menneskelige ressurser, samt nødvendig infrastruktur, for slik å effektivt kunne utføre sine oppgaver.
I tillegg blir det foreslått opprettelsen av et europeisk organ for kunstig intelligens, kjent som European Artificial Intelligence Board. Dette organet er tenkt å inneha en sentral rolle når det kommer til implementeringen av regelverket og utviklingen av standarder for kunstig intelligens på tvers av medlemslandene. Målet er å sikre en enhetlig tilnærming til reguleringen.
Ulemper ved en risikobasert tilnærming?
Behandlingen av forslaget i EU-institusjonene har vist seg å bli komplisert, blant annet grunnet uenigheter hva angår den risikobaserte tilnærmingen. Generelt har Europaparlamentet signalisert et ønske om en strengere regulering, mens flere medlemsland etterspør et mer fleksibelt rammeverk i Rådet. Dette bunner i stor grad ut i omtalte risikobaserte tilnærming.
Det er blant annet blitt trukket frem som bekymringsfullt at de fire ulike kategoriene ved den risikobaserte tilnærmingen ikke er tilstrekkelig definert.
I debatten er det særlig fremhevet som negativt ved reguleringen at det er stor uklarhet rundt kriteriene for å avgjøre om et AI-system utgjør uakseptabel risiko. Hvorvidt et system eksempelvis bruker manipulasjon, er ikke lett å utlede slik forordningen ligger an per nå.
Bekymringer er også reist angående sondringen mellom moderat og minimal risiko. Dette skillet er formelt helt vesentlig, ettersom systemer som faller inn under sistnevnte, ikke vil være underkastet regulering.
Dessuten vil de fire kategoriene, i henhold til forordningen, alltid kunne utvides med korte mellomrom. Samlet sett innebærer dette usikkerhet rundt hvilke restriksjonene som rent faktisk vil bli pålagt de ulike produktene og tjenestene til de ulike aktørene.30
Dette gjør det vanskelig for de ulike bedriftene på området å ha fullstendig klarhet rundt de fremtidige begrensningene som vil gjelde for deres KI-innovasjoner. Dette manglende forutsigbarheten kan påvirke produktutviklingen og strategiske beslutninger, og derfor krever bedriftene at reguleringen tilpasses og endres i større eller mindre grad. Dette har vært med på å sinke fremdriften ved arbeidet med forordningen.
Juridisk ABC
Denne teksten er publisert av redaksjonen i Juridisk ABC. Redaktør for nettsidene er advokat Eivind Arntsen.
Relaterte artikler
24. april 2024
Etterligning av stemmer ved bruk av KI – er det lov?
Tidligere i april skrev Klassekampen at forlaget Legatum Publishing forbereder…
16. april 2024
PrevBOT – et forskningsprosjekt med Politihøgskolen i spissen
Den 21. mars inviterte Datatilsynet til lanseringswebinar og panelsamtale i…
13. februar 2024
«Pay or Okay?» – Den nye personverntrenden
Ti år har gått siden Edward Snowden-revolusjonen, hvor NSAs masseovervåking av…